АО «ГЛОНАСС» использует сервис центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар» для мониторинга ИБ-инцидентов. К Solar JSOC подключены объекты системы экстренного реагирования при дорожно-транспортных происшествиях «ЭРА-ГЛОНАСС». В рамках проекта «Ростелеком-Солар» также обеспечивает соответствие требованиям №187-ФЗ – о безопасности КИИ. В частности, в ближайшее время Solar JSOC начнет передавать в ГосСОПКА данные об инцидентах в ГАИС «ЭРА-ГЛОНАСС».
Объекты критической информационной инфраструктуры (КИИ) находятся в фокусе внимания высококвалифицированных кибергруппировок. По оценке «Ростелеком-Солар», в 2021 году 92% таких сложных, целевых атак были направлены именно на сегмент КИИ. При этом АРТ-атаки на критические инфраструктуры не только могут привести к многомиллионным финансовым потерям и техническим сбоям, но и угрожают безопасности граждан. Так, к «ЭРА-ГЛОНАСС» сегодня подключено более 8 млн транспортных средств, время передачи информации о происшествии в экстренные службы через систему не превышает 19 секунд. Автоматизированное информационное взаимодействие «ЭРА-ГЛОНАСС» с «Системой-112» в настоящее время обеспечено уже в 70 регионах.
«Для АО «ГЛОНАСС» как для субъекта КИИ и оператора государственной информационной системы «ЭРА-ГЛОНАСС», задействованной для экстренного реагирования и спасения жизни людей при дорожно-транспортных происшествиях на всей территории России, критически важным является получение оперативной информации об инцидентах и событиях информационной безопасности на инфраструктуре в круглосуточном режиме. Это позволяет более эффективно выявлять и устранять инциденты информационной безопасности, актуальные угрозы, а также повышать уровень компетенций и осведомленности профильных технических специалистов о новых направлениях и видах компьютерных атак, проводимых в отношении инфраструктуры АО «ГЛОНАСС», таким образом обеспечивая стабильно высокий уровень кибербезопасности в компании. Вариант создания собственного центра мониторинга событий безопасности, функционирующего в круглосуточном режиме, потребовал бы значительных финансовых вложений, а также существенного увеличения штата профильных специалистов, поэтому в АО «ГЛОНАСС» остановились на более оптимальном варианте сервисной модели Solar JSOC компании «Ростелеком-Солар». — отметил Евгений Сажнев, руководитель направления развития инфраструктуры ИБ компании АО «ГЛОНАСС». — Внедрение данной услуги в 2021 году уже позволило оперативно выявить и нейтрализовать более 150 киберинцидентов в инфраструктуре АО «ГЛОНАСС», при этом значительно снизив нагрузку на профильных специалистов подразделения информационной безопасности, что способствовало более равномерному распределению их функциональной загруженности на другие стратегически важные задачи».
Сервис мониторинга предоставляется АО «ГЛОНАСС» по облачной модели. На инфраструктуре заказчика установлен модуль для сбора событий, которые обрабатываются уже в SIEM-системе, расположенной в облаке «Ростелеком-Солар». В SIEM поступают данные о сетевой, хостовой и пользовательской активности. В частности, используются такие сценарии выявления инцидентов ИБ, как срабатывание СЗИ, эксплуатация известных уязвимостей, запуск нелегитимного и подозрительного ПО на хостах и использование TOR-утилит, контроль входа под учетными записями администраторов, мониторинг подключения к сетям через VPN и многое другое.
Эксперты Solar JSOC анализируют собранную информацию, ищут взаимосвязи между событиями. При выявлении аномалий или нарушений политик безопасности проводится первичное расследование и оценка инцидента, а также выдаются рекомендации по его ликвидации. При необходимости специалисты Solar JSOC проводят комплексное расследование сложных инцидентов.
«Атаки высококвалифицированных злоумышленников крайне сложно детектировать, так как они используют техники обхода базовых средств защиты и не оставляют следов присутствия в журналах событий. Выявлять цепочки событий необходимо по косвенным признакам и неочевидным срабатываниям. Особенно важно, что владельцы таких критических инфраструктур, как «ЭРА-ГЛОНАСС», понимают опасность нарастающей киберугрозы и выбирают более продвинутые варианты защиты, — отметил Алексей Павлов, директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар». — Для анализа инцидентов Solar JSOC использует собственную ежедневно обновляемую базу индикаторов и знаний о киберугрозах (Threat Intelligence), информацию с сети сенсоров и ханипотов по всей стране, результаты пентестов, данные от сторонних SOC и CERT, вендорские подписки, а также данные регуляторов».